Управление доступом пользователей D365 через группы Azure Active Directory
Применяется к приложениям Dynamics 365 версии 9.x и Common Data Service.
В этом посте мы обсуждаем, как можно использовать группы Azure AD для администрирования доступа пользователей. Первоначально он был написан Варуном Катьялом, техническим архитектором HSD Dynamics 365.
По мере того как мир Office 365 расширяется и все больше клиентов переносят свои решения в облако, у администраторов возрастает потребность в возможности управлять пользователями и выделять их из центрального расположения и в составе группы, а не по отдельности.
Хорошей новостью является то, что администраторы могут использовать свои группы Azure Active Directory (Azure AD) для управления правами доступа для лицензированных пользователей Customer Engagement и Common Data Service.
Не очень хорошая новость заключается в том, что это существует уже некоторое время, но мы говорим об этом только сейчас.
Для предоставления доступа пользователям можно использовать как группы Office, так и группы безопасности Azure AD. Администраторы могут назначать роли безопасности всем членам группы вместо того, чтобы делать это для каждого отдельного члена.
Администраторы могут создавать группы групп Azure AD в средах Dynamics и Common Data Service и назначать этим группам соответствующие роли безопасности. Участники, которые затем добавляются в группу Azure AD, автоматически наследуют права доступа в зависимости от роли безопасности команды группы при попытке доступа к этим средам.
Добавление/удаление доступа пользователя
После создания группы Azure AD и команды группы администраторам нужно только добавить пользователя в группу Azure AD и назначить соответствующую лицензию Dynamics and Common Data Service. Затем пользователь может немедленно войти в среду, которая будет динамически предоставлять доступ во время выполнения.
Когда пользователь отключается/удаляется из Azure AD или удаляется из группы Azure AD, он теряет членство в группе и, следовательно, права доступа к среде.
Давайте пройдем пошаговый процесс, чтобы добиться этого.
- Вы можете создать новую группу Azure AD, войдя на https://portal.azure.com, выбрав Active Directory для экземпляра CRM и перейдя к Группы с левой панели навигации.
2. Выберите тип группы «Безопасность» или «Microsoft 365» (мы выберем «Безопасность») и укажите имя и описание группы. Добавьте участников в эту группу (вы также можете сделать это позже)
3. После создания группы вы можете найти идентификатор объекта для этой группы, как показано ниже. Обратите внимание на это, поскольку оно будет использоваться для подключения группы Azure AD к групповой команде в средах Dynamics и Common Data Service.
4. Теперь давайте создадим команду в Dynamics, перейдя в «Настройки» -> «Безопасность» -> «Команды».
Создайте новую команду и выберите «Тип команды» в качестве группы безопасности AAD и скопируйте идентификатор объекта из предыдущего шага в поле «Идентификатор объекта Azure AD для группы», как показано ниже.
При сохранении записи Dynamics проверит идентификатор объекта и выдаст ошибку, если он недействителен. Участников можно добавить в эту команду только через группу Azure AD. Как вы могли заметить, Dynamics не позволяет вам добавлять участников из записи команды, поскольку нет команды «добавить участника» или «+».
5 После того, как команда создана, следующим шагом будет назначение роли безопасности для этой команды. Члены команды еще не будут видны, поскольку они получают доступ динамически во время выполнения, поэтому, когда они пытаются войти в систему, у них должен быть доступ, и после этого запись команды Dynamics также будет отображать участника.
Теперь, когда членам был предоставлен доступ через членство в группе Azure AD, у них по-прежнему нет роли безопасности на уровне пользователя, что означает, что они могут владеть записями только как свою команду, но не как себя, что затем потребует от администраторов назначать индивидуальные роли безопасности. пользователю.
В следующей части этого блога мы обсудим, как решить эту проблему, чтобы пользователи по-прежнему могли владеть записями, когда им предоставляется доступ через группы Azure AD.
Теперь мы рассмотрим настройку ролей безопасности, чтобы иметь возможность централизованно управлять доступом.
Прежде чем мы углубимся в процесс, давайте поймем, что Dynamics предоставляет два типа прав доступа для пользователей:
Привилегии пользователя. Привилегия пользователя — это когда роль безопасности назначается непосредственно пользователю. Пользователи могут создавать и получать доступ к записям в Dynamics на основе привилегий роли безопасности.
Командные привилегии.Командная привилегия — это когда роль безопасности назначается группе, и пользователь наследует привилегии этой роли безопасности как член команды. В этом случае, если у пользователя нет собственных прав пользователя, он может создавать и получать доступ к записям только с командой в качестве владельца.
Теперь, если пользователям предоставляется доступ через группы Azure AD, они наследуют привилегии безопасности от команды группы, в которую они добавлены. Проблема в этом сценарии заключается в том, что пользователи не будут иметь собственных привилегий и, следовательно, НЕ смогут владеть записями в Dynamics. Администратору придется назначать роли безопасности отдельным пользователям, что противоречит цели использования групп Azure AD.
Что ж, чтобы решить эту проблему, в определение роли безопасности было добавлено свойство под названием «Наследование привилегий участника», которое имеет следующие значения:
- Только групповые права
- Прямой уровень доступа пользователя (базовый) и групповые привилегии
Теперь роли безопасности, использующие это свойство, будут иметь одинаковое поведение по умолчанию для всех сценариев, за исключением случаев, когда мы назначаем роль безопасности с наследованием привилегий участника 'Прямой уровень доступа пользователя (базовый) и групповые привилегии' для Группа группы Azure AD. В этом случае члены команды могут создавать записи как для себя, так и для своей команды, а также получать доступ к записям, принадлежащим им или их команде.
Это свойство применимо к командам владельцев и групп Azure AD.
Примечание. Недавно мы обнаружили важную информацию при добавлении пользователей в группы безопасности. Среды Dynamics можно связать с группой(ами) безопасности на уровне среды/экземпляра для защиты пользователей от среды. Новые и существующие пользователи в этих группах безопасности автоматически добавляются в бизнес-подразделение среды по умолчанию. Если один и тот же пользователь присутствует в команде группы Azure AD, сопоставленной с командой Dynamics 365, и если группа принадлежит другому бизнес-подразделению, то бизнес-подразделение, владеющее пользователем, будет установлено как уровень экземпляра по умолчанию, а не на основе Azure AD. групповая принадлежность команды.
Возможным решением может быть ограничение группы безопасности на уровне экземпляра пользователями, не входящими в группу группы Azure AD, связанную с Dynamics 365.
Первоначально опубликовано на https://www.hsd.com.au.
У нас более 20 лет опыта в предоставлении высококачественных решений, которые помогают клиентам, заинтересованным сторонам и пользователям улучшать свой бизнес и операции. Мы успешно работали с малыми, средними и крупными частными и государственными организациями в ряде секторов, таких как (но не ограничиваясь) образование, регулирование и здравоохранение.
Позвольте нам помочь вам с вашими деловыми и организационными потребностями на hsd.com.au
